天珣内网安全风险管理与审计系统V6694Patch66940.docx

《天珣内网安全风险管理与审计系统V6694Patch66940.docx》由会员分享，可在线阅读，更多相关《天珣内网安全风险管理与审计系统V6694Patch66940.docx（55页珍藏版）》请在三一办公上搜索。

1、天珣内网安全风险管理与审计系统安装配置手册（V6.6.9.4）启明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月天珣内网安全风险管理与审计系统V6.6.9.4 安装配置手册版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其

2、它语言、将其全部或部分用于商业用途。“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。目 录版权声明1免责条款1信息反馈11综述42安装环境及要求43.天珣内网安全风险管理与审计系统主要组件介绍63.1.服务器组件63.1.1.中心策略服务器63.1.2.本地策略服务器63.1.3.资产管理服务器63.1.4.Radius服务器63.1.5.攻击

3、告警服务器73.1.6.软件分发服务器73.1.7.HOD远程桌面服务器73.2.策略网关组件73.2.1.策略网关代理73.2.2.中性策略网关83.2.3.IIS策略网关83.2.4.ISA策略网关83.2.5.EXCHANGE策略网关83.2.6.DNS策略网关及旁路监听式DNS策略网关83.2.7.客户端93.2.8.按需支援管理端93.2.9.客户端打包程序94.天珣内网安全风险管理与审计系统的安装94.1.快速安装104.1.1快速安装部署104.1.2基本配置274.2.自定义安装324.2.1自定义安装中心服务器324.3.本地服务器的安装配置334.3.1添加策略服务器384

4、.4.策略网关配置384.4.1添加策略网关代理394.4.2安装中性策略网关394.5.远程桌面的系统配置464.5.1安装添加远程桌面服务器464.5.2添加远程桌面管理员464.5.3安装按需支援管理员端程序474.5.4用户请求管理员远程帮助494.6.软件分发安装与配置494.6.1安装软件分发服务器494.6.2配置软件分发504.7.安装资产服务器514.8.安装告警服务器524.9.安装RADIUS服务器534.10客户端的打包及分发541 综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身，具有世界领先水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主

5、动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。 天珣内网安全风险管理与审计系统架构如下图所示。主要由策略服务器、天珣客户端、策略网关组成。策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。数据库采用SQL SERVER，统一管理报警日志及审计等数据。2 安装环境及要求客户端（Clients） 计算机没有很高的系统要求。客户端软件(也被称CC)可以被安装在Windows 系统之上，包括 Window

6、s2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7 数据库支持32位 Microsoft SQL Server 2000，32/64位 Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服务器（Server） 是整个策略架构的管理中心、策略中心。必须运行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平台上。中心服务器通过w

7、eb方式管理，要求安装IIS服务器。其对硬件要求的高低应根据所管理的客户端数量的多少来定，其中，服务器安装要求的最低配置如下：硬件：CPUPIII 1G或以上Memory1G或以上硬盘40G空闲软件：Windows 2003 Server SP1以上Internet Information Services 6.0以上Dot Net Framework2.0MDAC 2.7或以上中心服务器、攻击告警服务器需要安装SQL Server数据库，可根据现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心服务器有足够的内存和硬盘空间。策略网关代理(Plug-in Proxy)：管

8、理所有关联的策略网关，策略网关代理从Local Server上取插件策略。当策略网关激活时，策略网关代理将策略发送给各个关联的策略网关。策略网关代理的主要作用在于可以将安装在多个应用服务器上的有相同插件策略的插件策略网关交给同一个策略网关代理管理，从而简化管理员的配置；同时，各个插件策略网关可相互共享CC的状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2次认证，提高系统性能。IIS策略网关、ISA策略网关、Exchange策略网关以及中性策略网关：策略检查点（checkpoint），与CC配合强制用户满足策略。策略网关从关联的策略网关代理上取插件策略。3. 天珣内网安全风险管

9、理与审计系统主要组件介绍天珣内网安全风险管理与审计系统为CSC架构，即天珣客户端（Clients）、策略服务器（Server）、策略网关（Check Point）。3.1. 服务器组件3.1.1. 中心策略服务器所有策略集中存放的地方，系统中唯一的Web管理控制台也与中心服务器集成在一起。管理员从Web管理控制台登录到Center Server，进行策略配置，报表查询。Center Server同时兼作一个Local Server。3.1.2. 本地策略服务器本地策略服务器是客户端日常取策略的地方，也是客户端发送报表的目的地。本地策略服务器从Center Server同步得到策略。设置本地策略

10、服务器的目的是为了适应企业大区域的分布式分级管理架构。本地策略服务器从中心策略服务器获取策略，客户端直接与本地策略服务器通讯。3.1.3. Radius服务器Radius服务器是天珣内网安全风险管理与审计系统网络准入的必须组件。结合各类LDAP认证，使用802.1x协议或EOU协议在交换机网络端口实施网络准入认证，确保只有通过认证的客户端接入并访问网络。3.1.4. 攻击告警服务器攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器，收集由客户端发来的攻击告警信息和终端审计信息。并在中心服务器管理界面，可进行统计和分类查询。3.1.5. 软件分发服务器通过软件分发服务器可建立软件安装包，

11、可根据目标地址或地址段、指定时间段分发软件包或自定义文件。3.1.6. HOD远程桌面服务器HOD远程桌面服务器用于记录在线的远程桌面管理员的相关信息，为其关联管理网段后，管理网段内的用户就可使用客户端集成的远程桌面客户端，向在线管理员发起远程桌面帮助请求。3.2. 策略网关组件作为系统及应用准入的准入控制点，检查访问者的客户端运行状态，与客户端配合强制用户满足策略。策略网关从策略网关代理上取策略网关策略。有时策略网关策略又叫插件策略。策略网关分为中性策略网关和IIS、ISA Proxy、Email、DNS等插件策略网关。3.2.1. 策略网关代理策略网关的管理者。所有的策略网关都直接连接到策

12、略网关代理，从策略网关代理获取策略，接受管理。而策略网关代理直接指向策略服务器，并从策略服务器获取策略。连接到同一个策略网关代理的所有策略网关使用相同的策略。设置策略网关代理这个角色的目的是简化策略网关的配置，因为有时一个企业需要安装多个策略网关，而每个策略网关的策略相同。3.2.2. 中性策略网关中性策略网关，也叫做中性插件，是安装在任意的X32位的Windows 2000 /2003/2008服务器或Linux的服务器上，执行应用准入控制，它与安装的服务器操作系统有关，而与该服务器运行何种应用无关。当终端访问到该服务器，都需要进行安全基线检查，若不符合安全策略，将被拒绝访问该服务器，并给出

13、提示信息（只有基于http访问，才能正确提示）。其中安全基线包括是否安装客户端软件、安装客户端软件的终端是否达到安全策略要求。3.2.3. IIS策略网关部署在IIS服务器上，对所有访问该WEB服务器的终端实施应用准入控制，检查终端是否符合安全策略，若不符合策略，则拒绝访问，并给出提示信息。3.2.4. ISA策略网关对所有通过ISA服务器上网的终端，实施应用准入控制，若不符合安全策略，则不允许终端通过ISA访问INTERNET，并给出提示信息。3.2.5. EXCHANGE策略网关部署在Exchange邮件服务器上，对访问EXCHANGE邮件服务器的终端实施应用准入控制，检查客户端是否符合安

14、全策略。对于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息。（只支持EXCHANGE 2003邮件服务器）3.2.6. DNS策略网关及旁路监听式DNS策略网关普通DNS策略网关部署在DNS服务器上，对需要进行DNS域名解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，DNS策略网关将阻断其DNS请求，并给出提示信息。如果是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听。如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互

15、联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。3.2.7. 客户端每台终端都必须安装客户端（CC）。客户端是安装在每个被策略管理的用户的电脑上的代理程序。执行企业策略，安全基线检查，客户端准入控制，访问控制，主动安全防御，资产管理，远程帮助，软件分发，移动存储认证和控制，终端行为审计终端相关功能。从本地策略服务器上取策略，向本地策略服务器发送报表，当用户不满足策略时，向用户提示相

16、关信息。3.2.8. 按需支援管理端如果安装了按需支援（HOD）的远程桌面服务器，需要在承担远程支持服务的管理员电脑上安装按需支援管理端软件。安装完成后，如果有终端用户发来远程支持请求，远程支持管理员就可以收到请求信息，并直接进行远程协助。3.2.9. 客户端打包程序客户端代理软件的打包程序。客户端打包程序将和中心服务器一起安装。打包程序将服务器IP地址、指定安装目录、是否静默安装、是否采用网络准入等参数与安装程序打包成可执行文件。4. 天珣内网安全风险管理与审计系统的安装安装部署共有两种安装选项：快速安装和自定义安装。运行Autorun.exe后出现以下主安装界面。4.1. 快速安装快速安装

17、默认安装服务器的以下组件：中心策略服务器、中心同步服务器、天珣服务状态监控服务、远程桌面服务器、攻击告警服务器、RADIUS服务器、策略网关代理服务器、中性策略网关、DNS策略网关、软件分发服务器、客户端打包程序，服务器卸载工具。快速安装选项的目的是一次安装所有服务器相关的组件及DNS准入控制组件，如果部署在网络出口，则可利用DNS准入达到即插即用的效果。对中小应用环境，我们的方案首推这种即插即用的部署。4.1.1 快速安装部署1 快速安装。将天珣内网安全风险管理与审计系统安装光盘放入光驱，可直接进入安装选择界面。请点击“快速安装” 。2 进入天珣内网安全风险管理与审计系统服务器的快速安装界面

18、。3 安装程序检测系统环境。1）系统必须安装 “MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系统还未安装上述的系统组件。则不能进行下一步操作。可以点击旁边的“安装”按钮安装所需的系统组件。 2）系统组件所用的SQL Server 可以选择连接到本机或者其它机器的SQL Server。如果您想将系统组件所用的SQL Server部署在本机，本机又没有安装SQL Server。您可以选择安装SQL Server。您也可以选择点击检测界面SQL Server旁边的“安装”按钮，运行安装光盘带的里的SQL SERVER2005 EXPRESS版本。

19、（注意：SQL Server Express 2005是由微软公司开发的 SQL Server 2005的缩减版，这个版本是免费的，单个数据库大小限制为4G）。进行解压缩，压缩完成后将如下图：点击下一步，进行组件的配置配置完成请点击next,进行数据库的安装：点击下一步，可以看到配置组件成功，继而就可以安装数据库了。输入用户名和公司名，再点击下一步：注意：为安装的方便，请将数据库所有的组件均选中，进行完全的安装，数据库建议使用6g的磁盘空间，所以请选择适当的磁盘。选择认证模式为混合模式，并输入密码，点击下一步；选择模式设置，点击下一步；点击安装并等待安装完毕。配置SQL SERVER数据库1、

20、打开SQL数据库配置管理工具（SQL Server Configuration Manager）配置SQL EXPRESS的ip协议为tcp1433（当然也可以更改端口）如下：双击，弹出下图，配置如下图：Enabled选项默认为“No”，修改为“Yes”。注意：ip地址为安装数据库的实际ip地址，TCP Port请填写“1433”。点击应用并重新启动sql数据库的服务如下图： 安装完SQL SERVER2005 EXPRESS之后。安装检测程序会自动开启SQL Server 的1433监听端口。（注意：如果系统已经安装SQL数据库, 天珣内网安全风险管理与审计安装程序是不会帮助SQL Serv

21、er 打开1433监听端口）。4 安装过程中，系统会提示用户选择安装的组件的路径，并需要管理员指定中心服务器IP地址、初始管理网段地址等信息。1）指定服务器的安装路径，安装组件所在盘符的空闲空间必须大于2G2）指定中心服务器IP地址,预置为当前服务器已连通网卡的地址，管理控制台默认端口为8833，请确保8833端口未被其他应用占用；3）设置中心服务器中初始管理网段地址，预置是当前选择网卡地址的子网网段；4）选择使用管理模式；5）设置所用的SQL Server 的连接的参数；6）填写创建数据库的用户的帐号。预置用户名是tx_user ,密码是 !QAZWSX#EDC$RF1qaz2wsx3edc

22、4rf7）安装程序将提示您选择授权文件License.dat的路径。License.dat文件请与启明星辰联系获取最新的授权文件。点击“浏览”选择受权文件的路径，选择有效的授权文件如果服务,若没有授权，需使用上级服务器分配的授权，则点击使用上级授权.8）安装检查完成，点击“安装”进行快速安装部署；5 快速安装的安装完各组件之后，安装程序会自动运行客户端打包程序进行客户端安装包的制作. 其中可以自行设置中心服务器地址，指定客户端的安装目录以及客户端的安装模式。总共可设置三种安装模式，以普通模式安装时会出现提示对话框，需由用户进行“确认用户许可” 、“选择安装目录”等操作；以自动模式安装时会出现安

23、装界面，但不需要用户进行任何操作，客户端将自动安装至默认目录；以静默模式安装时，正常情况下客户端安装过程中不会有任何提示，客户端将自动安装至默认目录，如果安装的是带防火墙模块的客户端则安装完毕后会有重新启动计算机的提示。此外该打包程序还提供了多种选择，用户可灵活选择客户端安装包是否包含802.1x交换机认证模块。说明：打包客户端工具的使用以winrar软件为前提，在安装客户端打包工具前请确保操作系统中已经安装有winrar软件。制作客户端包完成之后。关掉客户端打包工具程序。即弹出要求系统重启的界面。重启系统。此时快速安装部署天珣内网安全风险管理与审计系统已经完成。6 安装完成后，请先检查%In

24、stallFolder%configdatabase目录的安全属性，确定该目录及目录下的文件能被System用户及从Web登录的管理员修改或者已赋予everyone用户完全控制权限。然后请进入服务控制器，若系统已经自动添加并运行“ES Center Server”服务，则表明中心服务器已经安装配置成功。7 在天珣内网安全风险管理与审计系统中心服务器的默认安装目录C:Program FilesVenustechEndpoint SecurityESServer中，Config目录是天珣内网安全风险管理与审计系统的Web管理站点主目录；Download目录是下载服务的根目录，用于存放天珣内网安全风

25、险管理与审计系统客户端安装包、系统补丁等相关的软件。8 安装程序会自动创建一个虚拟主机“天珣内网安全风险管理与审计系统配置服务”，这个虚拟主机对应上文所提到的“C:Program FilesVenustechEndpoint SecurityESServerconfig”目录，对应的TCP端口则为8833。注意：由于系统8833端口可能事先被占用等原因，可能会造成策略服务器安装设置虚拟站点不成功，在这种情况下请手动设置IIS，创建天珣内网安全风险管理与审计系统配置服务虚拟站点：1) 修改%InstallFolder%configdatabase目录的安全属性，使该目录及目录下的文件能被Syst

26、em用户及从Web登录的管理员修改或者赋予everyone用户完全控制权限。2) 创建一个虚拟站点，作为web管理界面的入口。l 打开Internet服务管理器，右击服务器名称，点击“新建Web站点”。l 根据提示进行到“IP地址和端口设置”，将端口变为“8833”，其他设置保存为默认。天珣内网安全风险管理与审计系统的Web管理端口默认是8833，您也可以指定其他端口。当您使用其它端口时，您需要在“服务器设置”中修改服务器的管理端口信息。l 在指定Web站点主目录时将目录设为%InstallFolder% ESServer config，并将“允许匿名访问此Web站点”选项去除。l 完成后续的

27、步骤完成虚拟站点配置。l 从服务控制器中启动ES Center Server Service，安装配置中心Server完成。 安装成功后，请在浏览器输入网址（如http:/localhost:8833），进入天珣内网安全风险管理与审计系统配置服务虚拟站点，进行策略等相关设置，然后再安装相应的策略网关。4.1.2 基本配置安装完中心服务器，需要添加管理网段和IP组，设置保护网络的边界。4.1 2.1. 修改全局策略控制设置天珣内网安全风险管理与审计系统服务器和客户端的一些开关性质的内容和最基本的参数，此处的参数决定策略系统的运行方式和后台交互的频度，以及全局范围内的默认设置。说明：一般初步测试时

28、，只需更改如下两项的参数，其余参数可按需修改或保持默认值。客户端启动后发送报表时间，如果本地客户端检查了对方客户端，对方客户端的信息在本地有一个缓存，此处指定的时间就是缓存的时间，单位为分钟。缓存一过期，又要重新检查远端的客户端。这个时间也决定了客户端最少多长时间向Primary Server发送一次报表（如果需要发送）。默认时间为15分钟。一般在测试中可设置为稍短的时间，例如2分钟，这样可尽快看到测试效果。安全防护相关设置，在访问控制策略中，如果没有指定操作类型，则以此处设定的操作类型为准。4.1 2.2. 添加策略服务器 配置天珣内网安全风险管理与审计系统的第一步。天珣内网安全风险管理与审

29、计系统支持分布式多服务器架构。天珣内网安全风险管理与审计系统需要一个中心服务器，也只需一个中心服务器。同时也至少需要一个本地服务器，本地服务器可由中心服务器兼任。所以中心服务器同时也是一个本地服务器。当您配置中心服务器时，同时也是在配置其兼任的本地服务器，请在其“中心服务器IP地址”栏位上填写自己的IP地址。（快速安装模式和自定义安装中心服务器都已经默认配置中心策略服务器的参数）4.1 2.3. 添加管理网段 配置天珣内网安全风险管理与审计系统的第二步。管理网段一般配置一个大的网段，包括一个企业园区，或一个办公区域；管理网段可以包含很多小的网段，比如开发部的子网段等，这些小网段共享相同的本地服

30、务器，下载服务器，补丁安装策略。例如：192.168.0.10-192.168.0.252点击管理网段设置，显示所有的server，用户选中一个server，进入该server的管理网段的管理。先显示这个server的所有的管理网段。权限：普通用户只能修改自己所管理的管理网段的下载服务器信息，其他信息由全局管理员进行配置。点击添加可添加不同的管理网段。可以为不同的管理网段指定不同的下载服务器，默认的下载服务器位于Primary Server上的HTTP :/localserver:8833/download/。4.1 2.4. 添加IP组IP是管理网段的一个子网段，天珣内网安全风险管理与审计系

31、统的策略作用对象分别为IP地址和用户，IP组是IP地址策略作用的最小单位。点击“IP组”，用户可选择按照服务器及管理网段分类查看IP组。每个用户可以添加IP组，修改、删除自己所管理的IP组点击“添加”，添加IP组。填入IP组的名称和IP地址。选择所属的服务器和管理网段。排除的IP地址：填写在IP地址段中不需要包含的IP地址。本IP组应用的策略：通过查看及编辑按钮进行此IP组的相应策略配置。若此IP组还没有设置策略的话，则会在此处提示用户“还没有应用策略”。认证策略：选择IP内的CC是否启用用户登录和可信MAC，UMI绑定策略。4.2. 自定义安装自定义安装是可选择地安装服务器各组件。可分别选择

32、安装各服务器组件的安装程序，以便高级用户单独安装一些服务组件或重装维护一些服务器组件。4.2.1 自定义安装中心服务器自定义安装中心服务的安装界面与快速安装类似。有区别的是自定义安装中心服务器可以根据需要其它组件安装（注意：默认自定义安装中心服务器时，至少要安装中心服务器和软件分发服务器。具体操作可见上面的快速安装。4.3. 本地服务器的安装配置1 点击“安装天珣本地服务器”进入天珣内网安全风险管理与审计系统服务器的本地服务器安装界面。2 本地服务器安装程序检测系统环境。1）系统必须安装 “MDAC2.7或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。系统还

33、未安装上述的系统组件。则不能进行下一步操作。可以点击旁边的“安装”按钮安装所需的系统组件。 2）系统组件所用的SQL Server 可以选择连接到本机或者其它机器的SQL Server。如果您想将系统组件所用的SQL Server部署在本机。本机又没有安装SQL Server。您可以选择方式安装SQL Server。您也可以选择点击检测界面SQL Server旁边的“安装”按钮，运行安装光盘带的里的SQL SERVER2005 EXPRESS版本。（注意：SQL Server Express 2005是由微软公司开发的 SQL Server 2005的缩减版，这个版本是免费的，单个数据库大小限

34、制为4G）。3）安装完SQL SERVER2005 EXPRESS之后。安装检测程序会自动开启SQL Server 的1433监听端口。（注意：如果系统已经安装SQL数据库, 天珣内网安全风险管理与审计安装程序是不会帮助SQL Server 打开1433监听端口）。 3 安装过程中，系统会提示用户选择安装的组件的路径，并需要管理员指定中心服务器IP地址。1）指定服务器的安装路径，安装组件所在盘符的空闲空间必须大于2G2）指定中心服务器IP地址3 ）根据需要其它组件安装，可选择的组件有：Radius服务器，策略网关代理服务器，告警及审计服务器，软件分发服务器。4）安装检查完成。点击安装进行安装。

35、（安装完成之后。即完成自定义本地服务器安装，如果需要的其它服务器或者网关，组件等未安装。还可以再点击进入天珣策略系统网关或者天珣系统其它组件界面进行安装。）4.3.1 添加策略服务器 配置天珣内网安全风险管理与审计系统的本地服务器。天珣内网安全风险管理与审计系统支持分布式多服务器架构。天珣内网安全风险管理与审计系统需要一个中心服务器，也只需一个中心服务器。同时也至少需要一个本地服务器，本地服务器可由中心服务器兼任。所以中心服务器同时也是一个本地服务器。当您配置中心服务器时，同时也是在配置其兼任的本地服务器，请在其“中心服务器IP地址”栏位上填写自己的IP地址。如需添加另外一个本地服务器。即填写

36、在管理页面中添加本地服务器地址和中心服务器的地址。若不是大于1000点的用户，一般使用默认的使用中心服务器的数据库连接参数。4.4. 策略网关配置策略网关是系统及应用准入的准入控制点，检查访问者的客户端是否运行，与客户端配合强制用户满足策略。策略网关的配置主要包括添加策略网关代理、安装中性策略网关或IIS/ISA/EXCHANGE策略网关、配置准入控制的网段。4.4.1 添加策略网关代理策略网关代理代表一组策略网关，具有相同的管理功能，在策略配置时，将这一组策略网关作为一个管理对象来管理。建议提供网络服务的服务器都安装策略网关，以保护服务器的例如，WEB、EXCHANGE、ISA等服务，对访问

37、此服务的客户端实施准入控制，确保服务器的安全。4.4.2 安装中性策略网关放入光盘，选择安装天珣系统策略网关，得到如下图所示：策略网关代理可以安装在中心服务器上，中性策略网关可以自定义保护的端口号，用于一些使用指定端口的应用软件，默认保护80和8080端口。安装完成后，中性策略网关配置程序启动进行驱动、端口检查、可忽略检查IP的配置。配置中性策略网关驱动程序。首先安装驱动程序，当驱动程序已经安装时，“安装驱动”按钮不可用。安装完驱动程序后，驱动默认对所有的网卡进行监控。如果运行中性策略网关的机器上有多块网卡，需要将不直接与客户端通讯的网卡选择状态改为不选中，然后点击“应用网络配置”按钮使配置生

38、效。如果安装驱动后没有显示出监控的网卡，请参考后面进行驱动的手工安装配置。配置中性策略网关使用的策略网关代理地址、监控TCP端口的范围以及可忽略检查的IP地址。程序默认监控80和8080端口。点击保存，完成中性策略网关配置。注意：如果在网络驱动配置页面成功安装并设置了中性策略网关驱动程序，就不再需要进行手工驱动安装。但对于某些存在问题的系统，可能会出现安装驱动不成功的现象，此时需要手工安装驱动程序以发现错误原因。如果安装了错误的驱动，会导致系统不稳定或崩溃。驱动安装方法如下，打开本地连接的属性，选择安装，再选择服务，然后点添加。在选择网络服务对话框中，选择“从磁盘安装”,然后选择中性策略网关目

39、录下的win2000或win2003子目录中的netsf.inf文件（对Win2000，请安装win2000子目录下的驱动程序，对Win2003安装win2003子目录下面的驱动程序），选择LPSGWIMD Driver组件，点击确定开始安装。安装过程中可能会提示驱动没有经过数字签名认证，选择继续安装，直到安装完成。安装完成后，在本地连接的属性中可看到LPSGWIMD Driver。如果运行中性策略网关的机器上有多块网卡，需要将不直接与客户端通讯的网络连接上的LPSGWIMD Driver选择状态改为不选中即不使用LPSGWIMD组件。安装完成后，请进入服务控制器，若系统已经自动添加并运行“G

40、atewayPlugin Service”服务，则表明中性策略网关已经安装配置成功。4.4.2.1 添加准入控制的IP组通过添加策略网关准入控制的网段，确定对哪些访问者进行状态检查。进入“准入控制应用准入”，点击“准入控制的网段”从已配置的策略网关代理中选择想配置的项目，然后为对应的策略网关添加、删除其“需要检查的IP组”，这些IP组可以有多个。该IP组中不满足安全基线的客户端，访问策略网关所在的服务时将会被拒绝。若不同的策略网关需要检查不同的IP组，可以安装多个策略网关代理，并对不同的策略网关代理设定不同的检查的IP组。4.4.2.2 通过应用准入，强制用户安装客户端当所选定的IP组中的机器

41、访问安装了策略网关的服务器时，会强制终端用户安装客户端。如下图所示：点击安装程序，完成后。将不会出现该提示提示。以上提示信息，在“准入控制系统及应用准入策略网关”提示中设置,也可以选中”启用”以启用个性化提示页面，该情况仅仅需要在提示页面url中输入需要提示的url即可。提示：再配置并启用应用准入进行客户端分发和安装前，需要将位于：C:ProgramFilesVenustechEndpoint SecurityESServerCCClientOutput下的 ClientSetup.exe客户端安装包，复制一份到：C:Program FilesVenustechEndpoint Securit

42、yESServerDownload目录下面，当应用准入生效后，没有安装客户端的用户，可以通过上面的提示信息自助安装客户端。4.4.2.3 即时更新策略网关策略在默认的情况下，策略网关代理在每次启动时会更新策略，或在运行24小时后自动更新策略，策略网关代理获取新的策略后会自动将新策略下发到策略网关。但有时需要策略网关即时更新策略，比如管理员修改了策略网关控制的网段，或策略版本进行了升级，需要强制客户端即时生效，就需要即时更新策略网关策略。选择服务器，然后选择该服务器上的策略网关代理，点击“更新策略网关策略”，系统先将所选的服务器与中心服务器进行同步，然后更新所选的策略网关代理及所属策略网关策略。

43、4.5. 远程桌面的系统配置4.5.1 安装添加远程桌面服务器安装天珣内网安全风险管理与审计系统中心服务器时，一般已集成安装了按需支援远程桌面服务器。系统默认全部管理网段的CC都开启按需支援服务功能。这样需要援助的用户就可以通过服务器获取在线管理员的列表。如果需要添加多个远程桌面管理员需要做如下步骤：1、 在策略服务器操作系统中添加相应的管理员；2、 将该管理员加入策略系统的“管理员设置”中，并分配应有的权限；3、 添加管理员组，并管理相关管理员。4、 在“远程桌面”服务中添加远程桌面服务器并关联相应网段。详细配置步骤与方法请参见天珣内网安全风险管理与审计系统用户手册4.5.2 添加远程桌面管

44、理员如果是中心服务器安装模式采用三权分立时。点击“基本配置”“按需支持操作员”选项，添加远程桌面管理员。如果中心服务器安装模式采用的是windows 集成认证式时,添加用户之后需在服务器系统帐户中添加相应的用户。4.5.3 安装按需支援管理员端程序远程桌面管理员需要安装一个远程桌面管理员端，标明自己在线，随时可为用户提供援助。将天珣内网安全风险管理与审计系统安装光盘放入光驱，可直接进入安装选择界面。请点击“安装天珣系统其它组件”。进入安装界面，选择“安装按需支援管理员端”安装成功后，管理员输入登录ID和密码登录，标明自己在线可为用户提供帮助。然后登录输入管理用户帐号和密码，即可完成登录远程帮助

45、服务器。说明：管理员登录远程桌面管理员端后，初始状态为在线，系统并未检查其处于空闲状态，但一般用户可以请求该管理员进行远程协助。4.5.4 用户请求管理员远程帮助用户可右击天珣内网安全风险管理与审计系统客户端的图标，选择Help On Demand（按需支援），即可列出在线管理员列表，用户双击其中任意一个状态为空闲或（在线）管理员，即可与管理员建立连接，获得帮助。4.6. 软件分发安装与配置4.6.1 安装软件分发服务器 从天珣内网安全风险管理与审计系统光盘中，运行软件分发服务器安装程序，并填入管理服务器地址：（注意：选择快速安装模式时已经默认安装软件分发服务器, 自定义安装中心服务器或者自定

46、义安装本地服务器也有选项可以选择附带安装软件分发服务器）4.6.2 配置软件分发软件分发服务器安装完成后，进入系统Web管理页面，在桌面运维软件分发页面配置软件分发。 4.7. 安装告警服务器运行告警服务组件安装程序。(注意:快速安装模式已经默认安装了告警服务器,自定义安装中心服务器或者自定义安装本地服务器也选项可以选择附带安装告警服务器)指定安装目录，点击“下一步”开始执行安装服务器的过程。结束后，完成告警服务器的安装。4.8. 安装RADIUS服务器 运行RADIUS服务组件安装程序。(快速安装模式已经默认安装RADIUS服务器,自定义安装中心服务器或者自定义安装本地服务器也有选项可以选择附带安装RADIUS服务器)指定安装目录 填写中心服务器的IP地址。点击“下一步”开始执行安装过程。结束后，完成RADIUS服务器的安装。4.10 客户端的打包及分发其中可以自行设置中心服务器地址，指定客户端的安装目录以及客户端的安装模式。总共可设置三种安装模式，以普通模式安装时会出现提示对话框，需由用户进行“确认用户许可” 、“选择安装目录”等操作；